ГрамотаИБ ГрамотаИБ

Модель угроз ФСТЭК пошагово: как разработать по методике 2021 года

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Пошаговый порядок разработки модели угроз безопасности информации по методике ФСТЭК России 2021 года: от определения негативных последствий и объектов воздействия к оценке нарушителей, способам и сценариям реализации угроз и определению их актуальности. Что использовать (Банк данных угроз, УБИ), как оформить и когда актуализировать модель.

Модель угроз безопасности информации — обязательный документ при защите ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. и значимых объектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.: на её основе выбирают меры защиты. Разрабатывают её по методике ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России 2021 года. Разберём порядок работы пошагово.

Подход методики 2021 года

Методический документ «Методика оценки угроз безопасности информации» (утверждён ФСТЭК России 5 февраля 2021 года) сменил прежний подход: отправная точка теперь — не абстрактный перечень угроз, а негативные последствия, которые нельзя допустить, и объекты, воздействие на которые к ним приведёт. Что именно изменилось — в статье о методике 2021 года.

Пошаговый порядок

  1. Определить область оценки. Опишите информационные системы и их характеристики (ИСПДн, ГИС, АСУ, объекты КИИ), архитектуру, обрабатываемую информацию и границы, в которых оцениваются угрозы.
  2. Определить негативные последствия. Исходя из основных (критических) процессов, определите виды рисков и недопустимые последствия — ущерб гражданам, организации или государству, к которому может привести реализация угроз.
  3. Выявить объекты воздействия. Определите компоненты систем, информацию и интерфейсы, воздействие на которые приведёт к негативным последствиям, а также виды такого воздействия (нарушение конфиденциальности, целостности, доступности).
  4. Оценить источники угроз. Определите источники — антропогенные (нарушители), техногенные и природные. Для нарушителей укажите виды (внешние и внутренние), категории, цели и возможности (потенциал).
  5. Определить способы реализации угроз. Сопоставьте объектам воздействия возможные способы (тактики и техники) с учётом возможностей нарушителей. Источник актуальных данных — Банк данных угроз ФСТЭК (угрозы УБИ) и приложения к методике.
  6. Сформировать сценарии реализации угроз. Постройте цепочки «нарушитель → способ → объект воздействия → негативное последствие». Именно наличие реализуемого сценария определяет актуальность угрозы.
  7. Оформить модель угроз. Задокументируйте перечень актуальных угроз с обоснованием; модель угроз становится основанием для выбора мер защиты (приказ ФСТЭК №21 для ИСПДн и другие в зависимости от режима).

Когда угроза считается актуальной

Угроза безопасности информации актуальна, если одновременно есть: источник угрозы (для антропогенных угроз — нарушитель с достаточными возможностями), объект воздействия, способ (условия) реализации и сценарий, приводящий к негативным последствиям. Если хотя бы одного элемента нет, угроза неактуальна и в модель не включается.

Оформление и актуализация

Модель угроз утверждает оператор (обладатель информации). Она поддерживается в актуальном состоянии: пересматривается при изменении архитектуры системы, состава обрабатываемой информации, появлении новых угроз и уязвимостей, а также по результатам контроля защищённости. Для государственных систем оценка угроз увязывается с классом защищённости, для ИСПДн — с уровнем защищённости.

Главное

Модель угроз по методике ФСТЭК 2021 года строится «от негативных последствий»: сначала определяют недопустимые последствия и объекты воздействия, затем оценивают нарушителей, способы и сценарии реализации. Угроза актуальна, когда есть нарушитель, объект, способ и сценарий, ведущий к негативным последствиям. Источник данных об угрозах и способах — Банк данных угроз ФСТЭК (УБИУгроза безопасности информации — Совокупность условий и факторов, создающих опасность нарушения безопасности информации; каталогизируются в БДУ.). Готовая модель угроз обосновывает выбор мер защиты и поддерживается в актуальном состоянии при изменениях.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Что такое СЗИ простыми словами: виды, классы и сертификация ФСТЭК

Простое объяснение, что такое средства защиты информации (СЗИ): чем они отличаются от криптосредств (СКЗИ), какие бывают виды (межсетевой экран, антивирус, система обнаружения вторжений, средство защиты от несанкционированного доступа), что такое сертификация и уровни доверия ФСТЭК и когда обязательно применять именно сертифицированные средства.

Управление уязвимостями по ФСТЭК: БДУ, процесс и почему обновление стало риском

Как построить процесс управления уязвимостями (vulnerability management) по требованиям ФСТЭК: анализ уязвимостей как мера защиты (АНЗ в приказе №21, АУД в приказе №239), Банк данных угроз (БДУ), методический документ ФСТЭК 2023 года. Пошаговый процесс — инвентаризация, мониторинг, оценка критичности, устранение и контроль — и почему в текущих условиях само обновление ПО стало отдельным риском.

Импортозамещение СЗИ и ПО: запрет иностранного, реестр отечественного и что делать оператору

Кого и с каких сроков касается запрет иностранных средств защиты информации и программного обеспечения: Указ Президента №250 (СЗИ из недружественных государств), Указ №166 и 187-ФЗ (иностранное ПО на значимых объектах КИИ), реестр российского ПО и госзакупки. Практические шаги для оператора по переходу на отечественные сертифицированные решения.

Когда информационная система становится ГИС: признаки, кто определяет статус и последствия

Что делает информационную систему государственной (ГИС): признаки по 149-ФЗ, кто и как определяет статус, и какие наступают правовые и технические последствия — обязательная классификация (К1–К3), аттестация, сертифицированные средства защиты и требования приказов ФСТЭК №17 и №117. Разбираем и частую путаницу: делает ли подключение к чужой ФГИС вашу систему государственной.